Introduzione della nuova copertura della piattaforma Vectra AI per Copilot e Microsoft Azure

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
cybercriminels
>
Gruppo Ransomware

Bashe

Bashe, un gruppo di ransomware precedentemente noto come APT73 o Eraleig, è emerso nel 2024 con tattiche simili a quelle di LockBit, prendendo di mira le industrie critiche nei Paesi sviluppati e sfruttando l'estorsione di dati attraverso un Data Leak Site (DLS) basato su Tor.

Rilevare i TTP di Bashe
La vostra organizzazione è al sicuro dagli attacchi di Bashe?
Sfondo
Obiettivi
TTP
Rilevamento
DOMANDE FREQUENTI
Guarda il Briefing sulle minacce

L'origine di Bashe

Bashe, precedentemente noto come APT73 e Eraleig Ransomware, è emerso a metà aprile 2024, inizialmente autoidentificandosi come "minaccia persistente avanzata" (APT). Questa autodesignazione, comunemente riservata ad attori informatici altamente sofisticati e dotati di buone risorse, sembra essere parte della strategia di Bashe per commercializzarsi come minaccia credibile. Si ritiene che Bashe sia nato dal gruppo ransomware LockBit, in base alle somiglianze tra i loro Data Leak Sites (DLS). La struttura del DLS di Bashe include le sezioni "Contatti", "Come acquistare Bitcoin", "Bug Bounty per la sicurezza Web" e "Specchi", identiche a quelle viste nella configurazione di LockBit.

Bashe opera attraverso la rete Tor con infrastrutture ospitate nella Repubblica Ceca. Si affida all'AS9009 ASN per l'hosting, una rete precedentemente utilizzata da diversi gruppi maligni e malware, tra cui DarkAngels, Vice Society, TrickBot, Meduza Stealer e Rimasuta. Questa scelta di infrastrutture suggerisce che Bashe potrebbe sfruttare sistemi già noti per eludere il rilevamento.

L'origine di Bashe
Obiettivi

Obiettivi di Bashe

Paesi presi di mira da Bashe

Le attività del gruppo avrebbero colpito organizzazioni in Nord America, Regno Unito, Francia, Germania, India e Australia. L'attenzione di Bashe verso i Paesi sviluppati con preziose risorse di dati evidenzia il suo approccio globale per massimizzare il potenziale di vittimizzazione.

Fonte dell'immagine: ransomware.live

Industrie prese di mira da Bashe

Bashe sembra dare priorità ai settori ad alto valore aggiunto, tra cui tecnologia, servizi alle imprese, industria manifatturiera, servizi ai consumatori e servizi finanziari. Il gruppo mira anche ai trasporti, alla logistica, alla sanità e all'edilizia. Concentrarsi su questi settori permette a Bashe di massimizzare la leva delle richieste di riscatto prendendo di mira settori che gestiscono dati sensibili o essenziali.

Industrie prese di mira da Bashe

Bashe sembra dare priorità ai settori ad alto valore aggiunto, tra cui tecnologia, servizi alle imprese, industria manifatturiera, servizi ai consumatori e servizi finanziari. Il gruppo mira anche ai trasporti, alla logistica, alla sanità e all'edilizia. Concentrarsi su questi settori permette a Bashe di massimizzare la leva delle richieste di riscatto prendendo di mira settori che gestiscono dati sensibili o essenziali.

Le vittime di Bashe

Bashe ha violato circa 35 vittime finora.

Metodo di attacco

Accesso iniziale
Escalation dei privilegi
Difesa Evasione
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale
Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi
Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione
Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali
Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta
Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale
Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione
Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione
Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione
Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto
MITRE ATT&CK Mappatura

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
No items found.
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Rilevamenti della piattaforma

Come rilevare gli attacchi ransomware con Vectra AI

Sebbene le tattiche, le tecniche e le procedure (TTP) di Bashe siano ancora oggetto di ricerca, possiamo valutare le attività probabili in base alle sue somiglianze con LockBit. Ecco uno schema dei rilevamenti di Vectra AI che si attivano in caso di un tipico attacco ransomware:

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Visualizza altri rilevamenti
Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

La vostra organizzazione è al sicuro dagli attacchi di Bashe?

Valutare l'esposizione agli attacchi